翻译
StepSecurity 的全新 Threat Center API 可返回任何供应链安全事件中涉及的受影响软件包,帮助您快速实现响应自动化并确认暴露情况。
供应链攻击发展迅速,软件包被攻陷与该攻陷行为被利用之间的时间窗口不断缩小。StepSecurity Threat Intelligence 正是为解决这一问题而构建:它能在几分钟内检测到活跃的供应链攻陷行为,使用的是同一套发现了 tj-actions 和 nx 事件的系统,并将这些检测结果直接推送到您的团队已经在使用的渠道中。
Threat Center 是所有这些威胁情报的汇聚之地:实时活跃事件流、历史记录、受影响软件包以及建议的修复措施,全部在一个视图中呈现。
现在,我们已将事件数据以编程方式提供。新的 StepSecurity API 端点可返回任何威胁事件涉及的受影响开源软件 (OSS) 组件,使驱动 Threat Center 的威胁情报能够直接流入您自己的自动化流程和工具中。
应用场景
将此端点视为更大响应循环中的一个环节,而非独立功能,会有助于理解。StepSecurity 已经通过三种互联方式检测供应链攻陷并将其呈现:
- 实时检测事件通过您现有的 AWS S3 和 webhook 集成流式传输到您的安全信息和事件管理 (SIEM) 平台,同时通过 Slack 和电子邮件发送通知。威胁情报检测事件在事件被提出的瞬间即会触发。
- Threat Center 仪表板为您的团队提供了一个人性化友好的命令中心,用于调查每个事件、查看受影响的软件包或 Actions,并应用修复措施。
- 拉取请求检查(如 NPM Package Compromised Updates Check)已在拉取请求阶段阻止您的开发者引入已知被攻陷的软件包版本。
- Secure Registry 在安装时强制执行您的控制策略。它位于您的开发者、CI 运行器和公共注册表之间,评估每个安装请求是否符合您配置的控制策略,无论安装是在 CI 中还是在开发者的笔记本电脑上运行。
新端点添加了第四条路径:按需、结构化地访问特定事件的受影响组件。检测事件告诉您存在某个事件,而此端点允许您的系统随时询问"此事件涉及哪些确切软件包和版本?"并根据答案采取行动。
端点功能
单个请求返回与特定事件关联的每个受影响 OSS 组件,包括软件包生态系统、受影响版本、严重性、攻陷是否已验证,以及威胁描述。
GET /github/{owner}/threat-intel/incidents/{incidentId}/compromised-components
您提供您的 GitHub 组织、唯一事件标识符以及有效的 StepSecurity API 令牌。incidentId 与您在威胁情报检测事件中已收到的标识符以及在 Threat Center 中看到的标识符相同,因此各部分可以自然衔接。响应如下所示:
{
"compromised_components": [
{
"type": "npm",
"component_name": "malicious-pkg",
"version": "1.2.3",
"incident_group_id": "ig-001",
"description": "Package contains malicious code that exfiltrates credentials",
"severity": "critical",
"verified": true,
"added_at": "2024-01-15T10:00:00Z",
"threat_intel_id": "f47ac10b-58cc-4372-a567-0e02b2c3d479"
}
]
}这种结构化载荷是将知道存在事件转变为能够在无需人工介入的情况下采取行动之间的区别。
团队的三种使用方式
自动化事件响应
威胁情报检测事件在事件被提出的瞬间即已到达您的 webhook、S3 存储桶、Slack 和电子邮件,包含事件标识符和指向 Threat Center 的直接链接。新端点允许您获取该标识符并立即拉取受影响组件的完整列表,然后将其路由到您的值班分页系统、您的工单系统或专用响应渠道。警报和可操作详情同步到达,第一个人工步骤(某人打开仪表板读取受影响的软件包)消失了。
集成到您的 SIEM 和工具中
威胁情报从一开始就是为 SIEM 和安全运营中心 (SOC) 工作流设计的,使用您现有的 StepSecurity 集成而非新集成来配置。检测事件为您的 SIEM 提供信号;此端点用干净的、类型化的组件数据对其进行丰富。severity 和 verified 字段是特别有用的关键点:您可以自动优先处理已验证的严重攻陷,并将它们与您的 SIEM 已经看到的其他一切进行关联,将检测转化为完全上下文化的事件。
与您的依赖项清单关联
每个团队在供应链安全事件期间提出的问题很简单:我们实际暴露了吗?通过端点返回的 component_name 和 version,您可以针对您自己的软件物料清单 (SBOM) 或 lockfiles 交叉引用事件,在几秒钟内而不是几小时内回答这个问题。这补充了您已有的强制执行:Package Compromised Updates 检查在拉取请求阶段阻止受攻陷版本,Secure Registry 在 CI 和开发者机器上的安装时强制执行您的控制策略。总而言之,这些控制策略守护着前门,而 API 让您可以扫除已经进入的所有内容。
更大的图景
总而言之,这些功能形成了一个不再依赖某人盯着仪表板的单一循环。StepSecurity 在几分钟内检测到攻陷,检测事件到达您的 SIEM 和您的团队,Package Compromised Updates 检查和 Secure Registry 在 CI 和开发者机器上的拉取请求阶段和安装时阻止受攻陷版本,而现在 API 让您的系统可以按需拉取确切的受攻陷组件以驱动响应并确认暴露。检测一直是困难的部分,而威胁情报处理它。此端点让您的响应的其余部分保持同步。
入门
Threat Center 和此受影响组件端点可供 StepSecurity Enterprise 客户使用。要开始使用,请从您的 StepSecurity 仪表板生成 API 令牌,然后将其指向您的 Threat Center 中的真实事件,以亲自查看响应。
要了解有关威胁情报和 Threat Center 如何检测和跟踪供应链安全事件的更多信息,请参阅 Threat Center 文档 和威胁情报介绍博文。